Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Gesamt-Schlussbericht des Verbundprojektes Deutsch - CC Gmbh
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
1 Kurze Darstellung<br />
1.1 Aufgabenstellung<br />
Ziel <strong>des</strong> Vorhabens war die Entwicklung und Erprobung eines Werkzeug-Frameworks samt<br />
sprachspezifischer Module zur Sicherheitsanalyse von Programm-Quelltexten in<br />
verschiedenen Programmiersprachen. Das Werkzeug dient der Ermittlung von Daten- und<br />
Kontrollflüssen, auf denen böswillige Eingabe- und Umgebungsdaten ungeprüft sicherheitskritische<br />
Operationen <strong>des</strong> Zielprogramms beeinflussen können. Solche Datenflüsse sind ein<br />
maßgeblicher Ansatzpunkt für Angriffe auf Software. Das Prüfwerkzeug liefert <strong>des</strong>halb einen<br />
wesentlichen Sicherheitsgewinn für sicherheitskritische Software-Systeme.<br />
1.2 Voraussetzungen, unter denen das Vorhaben durchgeführt wurde<br />
Seit 2003 unterstützt das Bun<strong>des</strong>ministerium für Bildung und Forschung (BMBF) mit der<br />
Forschungsoffensive "Software Engineering 2006" Forschungsvorhaben zur Stärkung der<br />
Softwaretechnik in <strong>Deutsch</strong>land. Das Projekt SecFlow ("Security Flow") "Automatische<br />
Ermittlung sicherheitskritischer Datenflüsse in Quellcode" wurde im Rahmen der zweiten<br />
Auswahlrunde zur Forschungsoffensive 2006 in den Kreis der förderwürdigen Vorhaben<br />
aufgenommen. Innerhalb der Forschungsoffensive "Software Engineering 2006" <strong>des</strong> BMBF<br />
ist SecFlow dem Themenbereich II – Korrektheit, Sicherheit und Zuverlässigkeit von<br />
Software-Systemen (inkl. Safety) – zugeordnet.<br />
Das Vorhaben wurde im Juni 2006 rückwirkend für den Zeitraum vom 1. März 2006 bis<br />
30. Juni 2008 genehmigt. Die Projektlaufzeit war ursprünglich für eine Dauer von<br />
30 Monaten geplant. Aufgrund der rückwirkenden Genehmigung und dem damit<br />
verbundenen späteren Start <strong>des</strong> Projektes wurde eine Verlängerung von 3 Monaten<br />
beantragt und genehmigt. Es fand dabei eine kostenneutrale Umwidmung der Mittel statt.<br />
Die <strong>Gesamt</strong>laufzeit <strong>des</strong> Vorhabens betrug insgesamt 33 Monate, vom 1. März 2006 bis<br />
30. November 2008.<br />
SecFlow ist ein Verbundprojekt, an dem insgesamt vier Verbundpartner beteiligt waren:<br />
� Fraunhofer Institut für Experimentelles Software Engineering (IESE), Kaiserslautern:<br />
IESE übernahm im Projekt als Forschungspartner vornehmlich die forschungsintensiven<br />
Anteile im Entwurf <strong>des</strong> Werkzeugs einschließlich der dazu erforderlichen<br />
Referenzimplementierungen sowie die wissenschaftliche Begleitung der Validierung<br />
<strong>des</strong> Werkzeugs.<br />
� ICT Solutions AG (ICT), Trier:<br />
ICT war im Projekt als Anwendungspartner vor allem für die praktische Validierung <strong>des</strong><br />
Werkzeugs bei der Sicherheitsüberprüfung ihrer kundenspezifischen Installationen<br />
zuständig sowie für die Erarbeitung der plattformspezifischen Konzepte zur Analyse<br />
von J2EE-Software.<br />
� SHE Informationstechnologie AG (SHE), Ludwigshafen:<br />
SHE übernahm im Projekt als zweiter Anwendungspartner vor allem die praktische<br />
Validierung <strong>des</strong> Werkzeugs im Rahmen ihrer Beratungstätigkeit im Sicherheitsbereich<br />
sowie die Erarbeitung der plattformspezifischen Konzepte für C# und .NET.<br />
� <strong>CC</strong> GmbH (<strong>CC</strong>), Wiesbaden:<br />
<strong>CC</strong> übernahm im Projekt als Technologiepartner vor allem die Implementierung <strong>des</strong><br />
Werkzeugs, war aber auch für Beiträge zu seinem Entwurf verantwortlich. Außerdem<br />
leitete <strong>CC</strong> als Konsortialführer das Vorhaben.<br />
Datei<br />
SecFlow_<strong>Gesamt</strong>schlussbericht_V10.odt<br />
Version<br />
1.0<br />
Datum<br />
2009-02-02<br />
Bearbeiter/in<br />
Dana Richter<br />
Seite<br />
4 von 27